销毁 OAuth 应用程序不会通知访问令牌在 Mastodon 中被销毁的流 (CVE-2024-25619)
CVE编号
CVE-2024-25619利用情况
暂无补丁情况
N/A披露时间
2024-02-15漏洞描述
Mastodon 是一个基于 ActivityPub 的免费开源社交网络服务器。当销毁一个 OAuth 应用时,流服务器未被通知 Access Tokens 也已被销毁,这可能对用户造成安全风险,使得应用在被销毁后仍能继续监听流。实质上,这是因为 Doorkeeper 在应用与 Access Tokens 之间建立关系时采用了 `dependent: delete_all` 配置,这意味着 `AccessTokenExtension` 上设置的 `after_commit` 回调实际上没有触发,因为 `delete_all` 不会触发 ActiveRecord 回调。为了减轻风险,我们需要在 `ApplicationExtension` 中添加一个 `before_destroy` 回调,通知流服务器所有应用的 Access Tokens 将被“注销”。考虑到受影响的应用必须属于用户所有,影响应该可以忽略不计。然而,该问题已在版本 4.2.6、4.1.14、4.0.14 和 3.5.18 中得到解决。建议用户进行升级。对于此漏洞,目前没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mastodon/mastodon/commit/68eaa804c9bafdc5f798e114e9ba00161425dd71 | |
| https://github.com/mastodon/mastodon/security/advisories/GHSA-7w3c-p9j8-mq3x |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-613 | 不充分的会话过期机制 |
| CWE-672 | 在过期或释放后对资源进行操作 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论